Identificar riscos e proteger sua organização
Objetivos de aprendizagem
Após concluir esta unidade, você estará apto a:
- Descrever como os especialistas em conscientização sobre segurança identificam os riscos e as necessidades de treinamento.
- Explicar os tipos de programas de conscientização implementados pelos profissionais de conscientização sobre segurança.
Identificar riscos e necessidades de treinamento
Você sabia que ransomware é uma das formas mais difundidas e perigosas de ataques cibernéticos? Ela já afetou pequenas empresas, cidades e hospitais. Ransomware é um tipo de software malicioso projetado para bloquear o acesso a um sistema de computador até que uma quantia de dinheiro seja paga em resgate. Ele normalmente funciona com a criptografia dos arquivos no computador afetado, o que impossibilita seu acesso. A maioria dos ransomwares são implantados por emails que parecem legítimos e levam os usuários a clicar em um link ou baixar um anexo que contém software malicioso. Eles também podem vir de um site mal-intencionado ou ser enviados por mensagens de mídias sociais. O impacto do ransomware pode ser devastador para uma organização e, infelizmente, muitos funcionários desconhecem a ameaça. Considerando que os hackers se aproveitam de erro humano para aplicar ransomware ou enviar emails de phishing a um usuário, o treinamento em conscientização sobre cibersegurança é essencial para proteger as organizações.
Na hora de decidir o tipo de treinamento a ser implementado, os especialistas em conscientização sobre segurança começam identificando as ameaças, as vulnerabilidades e os riscos mais relevantes para a organização. Com isso, eles estabelecem uma rede de conscientização sobre segurança com as principais partes interessadas na organização para ter certeza de que conhecem os riscos e os objetivos de negócios. Em seguida, eles analisam as funções e os cargos da organização para identificar o conhecimento e as habilidades necessárias para defender a empresa, com especial atenção ao treinamento de que os usuários com privilégios (administrativos) precisam. Essas etapas são mencionadas no Controle 14 do Center for Internet Security.
O especialista em conscientização sobre segurança também explora as lacunas fazendo perguntas essenciais. Que tipos de comportamento de usuários colocam a organização em risco? Os usuários sabem como detectar um email de phishing? Que controles existem para detectar e prevenir danos causados por agentes internos mal-intencionados? Os especialistas em conscientização sobre segurança também consideram os tipos de leis, regulamentos e requisitos de conformidade que se aplicam às suas organizações. Eles fazem com que os usuários conheçam suas responsabilidades em relação a esses requisitos e alinham os treinamentos com as políticas de segurança da empresa. Eles trabalham com a equipe de elaboração de políticas para garantir a atualização das políticas conforme a legislação em vigor e que elas sejam claras para os funcionários.
Implementar iniciativas de treinamento e conscientização
Os especialistas em conscientização sobre segurança têm várias ferramentas à sua disposição para treinar a força de trabalho sobre como proteger a organização de engenharia social, phishing, ransomware, agentes internos mal-intencionados e outros tipos de ameaça. O especialista em conscientização sobre segurança planeja, elabora, desenvolve, implementa e mantém um programa de conscientização abrangente. Ele cria conteúdo de conscientização sobre segurança para vários canais, por exemplo, mídias sociais e sites de intranet. Ele também distribui material didático técnico aos usuários para ensiná-los sobre a evolução das ameaças, novos requisitos regulatórios ou mudanças na política da empresa. Ele cria material de e-learning, por exemplo, cursos de treinamento online, conteúdo de vídeo, podcasts, webinars ou fóruns de discussão.
O treinamento pode ser específico do trabalho ou focado no fortalecimento dos funcionários contra ameaças específicas que se aproveitam de fraquezas no comportamento humano. Por exemplo, um treinamento específico do trabalho pode incluir treinamento de analistas do Centro de operações de segurança (SOC, Security Operations Center) sobre como usar uma nova ferramenta para perceber atividades anômalas na rede. Os especialistas também podem elaborar treinamento para desenvolvedores de aplicativos sobre como higienizar seus códigos a fim de protegê-los contra vulnerabilidades de injeção e ajudar a proteger o Ciclo de vida de desenvolvimento de software (SDLC, Software Development Lifecycle). Normalmente, eles criam treinamento sobre legislação que se aplica ao trabalho de um funcionário para ajudá-lo a entender seu papel na conformidade da organização. Por exemplo, dar treinamento a um funcionário que implementa soluções de autenticação para acesso remoto sobre as normas de segurança de dados do setor de cartões de pagamento (PCI, Payment Card Industry) que compartilha informações de Melhores práticas de PCI para manter a conformidade com o PCI DSS.
Outros tipos de treinamento e conscientização podem se concentrar no aumento da conscientização do usuário sobre ameaças específicas ou no teste de procedimentos da organização por meio de simulações. Por exemplo, os especialistas em conscientização sobre segurança costumam implementar exercícios de treinamento para aumentar a conscientização sobre phishing. Isso pode incluir ensinar aos usuários como reconhecer emails mal-intencionados ou como proteger suas mídias sociais contra engenharia social. Muitas organizações também usam emails de phishing simulados para ter certeza de que os usuários se mantêm vigilantes em relação a essa ameaça e para avaliar a taxa de vítimas de emails de phishing entre os funcionários. Isso ajuda a embasar que tipo de treinamento corretivo é necessário para mudar o comportamento dos usuários.
Outro tipo de treinamento inclui exercícios de mesa e simulações, que podem ser feitos com a equipe operacional ou com executivos. Essas sessões de treinamento percorrem uma simulação de um cenário do mundo real com uma equipe, por exemplo, um ataque de ransomware, para demonstrar como funcionam os processos de resposta da organização. Essas sessões também podem ilustrar áreas com lacunas que se beneficiariam de mais políticas/processos ou treinamento.
As empresas podem criar e-learning, simulações de phishing e exercícios de mesa internamente ou podem terceirizar essa função para fornecedores voltados para a educação e conscientização. Nesse caso, o especialista em conscientização sobre segurança é responsável pelo relacionamento com os fornecedores e faz com que eles atendam aos objetivos de treinamento da empresa. Como o especialista confirma que o treinamento está atendendo aos seus objetivos? Esse é o tópico da próxima unidade sobre detecção de riscos e integração das suas atividades de conscientização sobre segurança com a resposta a incidentes.